1

2

METODOLOGÍA PARA DETERMINAR LAS AMENAZAS

A LOS ACTIVOS LAYME VELÁSQUEZ, Rubén Darío

PEÑA MANRIQUE, José Luís

3

CONTENIDO

INTRODUCCIÓN

METODOLOGÍA PARA DETERMINAR LAS AMENAZAS A LOS ACTIVOS

CONCLUSIONES

RECOMENDACIONES

4

INTRODUCCIÓN

La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos.

Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.

Entonces, el análisis de riesgo informático se vuelve un elemento importante que forma parte del programa de gestión de continuidad de negocio.

5

PROCESO DE EVALUACIÓN DEL RIESGO

REQUERIMIENTOS DE SEGURIDAD

CONTROLES

AMENAZAS VULNERABILIDADES

ACTIVOS

VALOR DE LOS ACTIVOS

Aumentan Aumentan

Aumenta

Impactan si sematerializan

MarcanImponen

Disminuyen

Protegen de

Aprovechan

Tienen

Exponen

6

METODOLOGÍAS DE ANÁLISIS DE RIESGOS

MAGERIT

• Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

OCTAVE

• Metodología de Análisis y Gestión de Riesgos. (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

7

METODOLOGÍAS DE ANÁLISIS DE RIESGOS

MAGERIT

• Valor y dependencias entre activos.

• Relación de las amenazas a que están expuestos los activos.

• Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.

• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación.

• Magerit comprende 4 fases.• Conjunto de programas de

seguridad que permiten materializar las decisiones de gestión de riesgos.

OCTAVE

• Identificar recursos importantes• Enfocar las actividades de análisis

de riesgos• Relacionar amenazas y

vulnerabilidades• Evaluar riesgos• Crear una estrategia de

protección• Define el rumbo de la compañía• Acciones a corto plazo• El método octave usa 3 fases

para examinar asuntos tecnológicos y de organización.

• La tecnología se examina únicamente en relación a las prácticas de seguridad.

8

SELECCIÓN DE METODOLOGÍA

9

MAGERIT

10

MAGERIT

11

ESTABLECIMIENTO DE PARAMETROS

12

VALORACIÓN DE ACTIVOS

13

AMENAZAS GLOBALES

14

CONTROLES POR AMENAZAS

15

CONTROLES POR AMENAZAS

16

RESULTADOS PARA LA GERENCIA

17

ANÁLISIS Y GESTIÓN DE RIESGOS PARA EL SERVIDOR RADIUS DEL LABORATORIO DE LA

F.I.S. (ESCUELA POLITÉCNICA NACIONAL - QUITO)

18

SITUACIÓN ACTUAL DEL SERVIDOR

19

ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS

20

ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS

21

ACTIVOS (PILAR)

22

ACTIVOS (PILAR)

23

AMENAZAS (PILAR)

24

AMENAZAS (PILAR)

25

AMENAZAS (PILAR)

26

ESTIMACIÓN DE ESTADO DE RIESGO

27

SALVAGUARDA

28

ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS

29

RETORNO DE INVERSIÓN

30

31

PLAN DE MITIGACIÓN

32

CONCLUSIONES

La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes

La seguridad de la información no es una responsabilidad únicamente del área de tecnología debe fluir desde la alta gerencia hacia todos los procesos de negocios

Un comité de seguridad de la información compuesto por cada jefe de área genera más compromiso para hacer cumplir las políticas de seguridad de la información

Si la seguridad de la información depende únicamente de IT entonces la probabilidad es del 100% de que no se implemente

33

RECOMENDACIONES

Utilizar la metodología MAGERIT, para instituciones públicas o privadas que contenga activos tangibles o intangibles, complementando el análisis con la herramienta PILAR, que es una herramienta propia automatizada y basada en la metodología, que permite trabajar con un amplio conjunto de activos, amenazas y salvaguardas.

Identificar en que sitios van a residir los activos o datos importantes por su confidencialidad e integridad, por su valor de carácter personal, por su clasificación de seguridad, y por qué lugares van a circular.

Registrar y documentar: los procesos, actividades y tareas del personal que maneja los sistemas informáticos, para poder ser utilizados en un AGR, como también ser una guía para un nuevo personal.

Difundir los Planes de Mitigación de riesgos a las personas encargadas de la administración del área de sistemas, con el fin de que sepan que acciones realizar en caso de presentarse incidentes de seguridad.

34

GRACIAS.